Views: 26
アサヒ飲料株式会社は、2025年09月29日(月)にランサムウェア集団 Qilin(キリン、旧:Agenda)によるサイバー攻撃を受け、国内の業務が停止しました。
私達が被害にあわないようにする方法はあるのでしょうか?
アサヒ飲料株式会社でシステム停止・出荷停止などの深刻な影響が出たと報道されています。報道では攻撃グループ名(Qilin)が関与を主張していると報じられています。
- 【アサヒGHDの被害状況・対抗措置】
- 【そもそも】
- 【私達にできる対策】
- 【参考(主要ソース)】
- 【上記略称の説明】
- ≪セキュリティ関連の略称一覧≫
- ○RaaS(Ransomware-as-a-Service)
- ○MFA(Multi-Factor Authentication)
- ○VPN(Virtual Private Network)
- ○RDP(Remote Desktop Protocol)
- ○EDR(Endpoint Detection and Response)
- ○SIEM(Security Information and Event Management)
- ○CSIRT(Computer Security Incident Response Team)
- ○IR(Incident Response)
- ○NIST(National Institute of Standards and Technology)
- ○CISA(Cybersecurity and Infrastructure Security Agency)
- ○MITRE ATT&CK(MITRE Adversarial Tactics, Techniques, and Common Knowledge)
- ○OT(Operational Technology)
- ○IT(Information Technology)
- ≪バックアップ・データ関連≫
- ≪セキュリティ設計関連≫
- ≪セキュリティ関連の略称一覧≫
【アサヒGHDの被害状況・対抗措置】
アサヒ飲料株式会社は、2025年9月29日にサイバー攻撃を受け、国内の業務システムが停止しました。この攻撃は、ランサムウェアによるもので、アサヒGHDの事業運営に深刻な影響を与えています。攻撃を受けたシステムは、出荷・受注処理・問い合わせ窓口などの重要業務に影響を与え、企業活動全体に深刻な影響が生じています。アサヒGHDは、顧客や取引先の個人情報の流出は確認されていないと説明していますが、システム障害により業務が停止しています。
アサヒGHDは、サイバー攻撃の詳細については情報開示を差し控え、被害を最小限にとどめるために障害の発生したシステムの遮断措置を講じました。現在、情報漏えいの可能性を示す痕跡が確認されており、調査が進行中です。
アサヒGHDは、顧客や取引先の商品供給を最優先業務と位置づけ、部分的に手作業での受注を進め、順次出荷を開始しています。復旧の時期は明らかにされていませんが、緊急事態対策本部と外部の専門家が協力し、一刻も早いシステムの復旧に向けた対応を行っています。
アサヒGHDは、サイバー攻撃によるシステム障害発生について公表し、顧客や取引先の個人情報の保護を最優先とし、被害を最小限にとどめるために障害の発生したシステムの遮断措置を講じました。
アサヒGHDは、サイバー攻撃によるシステム障害発生について公表し、顧客や取引先の個人情報の保護を最優先とし、被害を最小限にとどめるために障害の発生したシステムの遮断措置を講じました。
【そもそも】
≪ランサムウェアとは?≫
ランサムウェア(Ransomware)とは、「パソコンやサーバーの中のデータを勝手に暗号化して使えなくし、元に戻す代わりにお金(身代金=Ransom)を要求するウイルス(マルウェア)」です。
ランサムウェアの仕組み
1.感染する
メールの添付ファイルを開いたり、不正なサイトにアクセスしたりすると感染。
社内ネットワークを通じて他のPCにも広がることがあります。
2.データを暗号化する
ファイルを特殊な暗号でロックし、開けなくします。
画面には「お金を払えば解除キーを渡す」といったメッセージが表示されます。
3.身代金を要求する
多くの場合、仮想通貨(ビットコインなど)で支払いを要求されます。
最近では「データを盗んだ上で、公開すると脅す」手口も増えています(=二重恐喝)。
≪Qilinとは?≫
Qilinは、比較的新興ながら活動が急速に拡大しているロシア語圏のRaaS型ランサムウェアグループと見られており、暗号化・データ窃取・恐喝といった典型的な戦術を用いています。感染した企業・団体に対しては、データの暗号化とリークの脅しを組み合わせた「二重脅迫」型の手法を採用しています。
このグループは2022年8月にトレンドマイクロによって検出され、アフィリエートがカスタマイズできる「Agenda」と呼ばれるランサムウェアを拡散していました。現在はRustで書かれたランサムウェアを配布していますが、当時のソフトウェアはGoで書かれており、トレンドマイクロはソースコードがBlack Basta、Black Matter、REvilファミリーのマルウェアと類似していることを指摘しました。
参照サイト
https://rocket-boys.co.jp/security-measures-lab/qilin-ransomware-group-overview/#Qilin
≪RaaSがもたらす影響≫
※RaaSの説明は後段に
□参入障壁の低下
技術力がなくても攻撃を実行可能。結果としてランサムウェア攻撃の件数が急増。
□攻撃の組織化・多様化
攻撃グループ(例:LockBit、ALPHV/BlackCat、Qilin など)が企業のように運営される。
□二重・三重恐喝
「データを暗号化」+「盗んだ情報を暴露」+「取引先を脅迫」など、複数の手口で圧力をかける。
□検知・防御の困難化
攻撃ツールが多様化・頻繁に更新され、防御側が追いつきにくくなる。
【私達にできる対策】
組織が同様の被害に遭わないための実務的な対策(優先度順)
※出典や略称説明は後段を参照下さい。
≪最優先(今すぐ/24~72時間以内にやる)≫
多要素認証(MFA)を全てのリモートアクセス・管理者アカウントに有効化
VPN、クラウド管理コンソール、メール管理者、RDPなど。MFAは侵入の最も効果的な抑止策の一つです。
バックアップの検証(イミュータブル/オフラインコピー)
重要データ/システムのバックアップが「隔離」「読み取り専用(イミュータブル)」であるか、復旧テストが成功するかを即確認。ランサムウェア対策の根幹です。
管理者権限と特権アカウントの最小化(最小権限)
管理者で日常作業をしない、特権昇格の監視、パスワード管理の強化。
エンドポイント検出(EDR)とログの集中収集を有効化
EDRで振る舞い検知、SIEM/ログで早期の異常検知とフォレンジックのためのログ保持。
リモートデスクトップ・ファイル共有の最小化とネットワーク分離
RDP/SMBの公開を禁止、社内ネットワークのセグメンテーション(ITとOTを分離)。横展開を防ぐために重要。
≪次に重要(1~4週間で取り組む)≫
脆弱性管理(パッチ適用)と資産管理
公開サービス・旧OS・未パッチ機器の洗い出し → 優先パッチ適用。脆弱性が初期侵入経路になることが多いです。
メール/Webゲートウェイでのフィルタ強化+フィッシング訓練
フィッシングは初期侵入の代表例。受信メールのサンドボックス検査や定期的な訓練で防御を強化。
インシデント対応(IR)手順とテーブルトップ演習
NISTやCISAのチェックリストに基づくIRプレイブック作成、役割(経営・法務・CSIRT・広報)の定義、模擬演習実施。
≪中長期(数か月~)≫
ゼロトラストアーキテクチャの検討
ネットワーク信頼を前提にしない設計への移行。段階的導入で効果的にリスク削減。
サプライチェーン管理・取引先のセキュリティ評価
取引先経由の侵入リスクが増加しているため、セキュリティ基準の設定と評価を導入。
データ分類と重要データの暗号化
盗まれた場合の被害を限定するため、機密度に応じた保護策を整備。
万一「感染が疑われる/発見した」場合の最初の行動(即実行)
該当端末/サーバーをネットワークから切断(物理LANケーブルを抜く・無線を切る)。ただし証拠保全のためスクリーンショットやログ取得の作業を並行して。
影響範囲の特定 → 感染端末の隔離 → 重要システムの停止判断はIRチームで。
直ちに法務・経営・CSIRT(または外部のIR専門業者)に連絡。当局(警察/CISA等)への報告も検討。
≪よくある質問(簡潔)≫
「身代金は払うべきか?」 → 一般的には推奨されません。支払っても復旧が保証されない、追加の犯罪資金になり再攻撃を呼ぶ可能性があります。代わりに(1)バックアップでの復旧、(2)IR専門家の介入、(3)当局への報告を優先。
【参考(主要ソース)】
Reuters / AP 等の事案報道(Asahiの被害報道)。
CISA「#StopRansomware / Ransomware Guide」 ― 防御・対応の具体チェックリスト(推奨)。
NIST SP 800-61(インシデント対応ガイド) ― IR体制と手順の標準。
MITRE ATT&CK(T1486: Data Encrypted for Impact) ― ランサムウェアの技術分類と対策観点。
【上記略称の説明】
≪セキュリティ関連の略称一覧≫
○RaaS(Ransomware-as-a-Service)
「サービスとしてのランサムウェア」 ― つまり、ランサムウェア攻撃をサブスクリプション形式や成果報酬型で提供するビジネスモデルです。
RaaSは、攻撃ツールを開発する「運営者(開発者)」 と、実際に攻撃を行う「アフィリエイト(利用者)」 が分業しています。いわば「犯罪のフランチャイズ化」「攻撃の外注化」です。
1. RaaS運営者(開発者側)
ランサムウェア(暗号化プログラム)を開発・提供
攻撃用の管理パネル(被害者管理や身代金交渉ページなど)を運営
支払い(暗号資産)や被害者との交渉を代行する場合も
2. アフィリエイト(攻撃者側)
実際に企業や組織に侵入し、ランサムウェアを配布
被害者からの身代金が支払われた際に報酬を分配(一般的には 70?90% が実行者側に)
攻撃対象を選ぶ自由度があり、手口も多様化
3. 支払いモデル
サブスクリプション型(月額制):ツールや更新を利用できる
成果報酬型(収益分配):攻撃成功時に利益をシェア
ハイブリッド型:両者の組み合わせ
○MFA(Multi-Factor Authentication)
多要素認証。パスワードに加えて、スマホの認証アプリ・生体認証・物理キーなど複数の要素で本人確認を行う仕組み。1要素(パスワード)のみよりも強固。
○VPN(Virtual Private Network)
仮想専用線。インターネット上に暗号化された「専用通路」を作り、安全に社内ネットワークに接続するための仕組み。
○RDP(Remote Desktop Protocol)
リモートデスクトッププロトコル。Windowsの遠隔操作機能で、外部からPCやサーバーに接続する際に使われる。攻撃の標的になりやすい。
○EDR(Endpoint Detection and Response)
エンドポイント検知と対応。PCやサーバーなど(エンドポイント)で不審な動作を検知し、侵入を早期に発見・遮断する仕組み。
○SIEM(Security Information and Event Management)
セキュリティ情報・イベント管理。ログを一元的に収集・分析して、サイバー攻撃や異常行動を早期に発見するシステム。
○CSIRT(Computer Security Incident Response Team)
コンピュータセキュリティインシデント対応チーム。組織内で発生したセキュリティ事故(インシデント)に対応する専門チーム。
○IR(Incident Response)
インシデント対応。セキュリティ事故が発生した際の初動、調査、封じ込め、復旧、再発防止までを含む一連の対応活動。
○NIST(National Institute of Standards and Technology)
米国国立標準技術研究所。サイバーセキュリティやインシデント対応に関する国際的なガイドライン(例:NIST SP 800-61)を発行している。
○CISA(Cybersecurity and Infrastructure Security Agency)
アメリカ国土安全保障省(DHS)傘下のサイバーセキュリティ機関。ランサムウェア対策のガイド「#StopRansomware」などを提供。
○MITRE ATT&CK(MITRE Adversarial Tactics, Techniques, and Common Knowledge)
攻撃者の行動や技術を体系化したフレームワーク。攻撃手法を「戦術」「技術」として整理し、防御側が対策を立てる参考にする。
○OT(Operational Technology)
制御系技術。工場やインフラなどの物理的な制御システムを指す。IT(情報系)とは異なり、製造業などでは重要な領域。
○IT(Information Technology)
情報技術。業務システムやネットワーク、メールなどの情報処理システムを指す。
≪バックアップ・データ関連≫
○イミュータブル(Immutable)
「不変の」という意味。バックアップデータを変更・削除できない状態にしておくことで、攻撃者が暗号化や削除を行えないようにする。
≪セキュリティ設計関連≫
○ゼロトラスト (Zero Trust)
「何も信頼しない」を原則とするセキュリティ設計。ネットワーク内外を問わず、全アクセスを都度検証する考え方。
